Metasploit Social Engineering

Socialne inžinierstvo Bezpečnosť počítačovej siete je rovná najmenej zabezpečenému prvku v sieti. Zabezpečená sieť pozostávajúca z dvadsiatich plne aktualizovaných osobných počítačov, a jedného severa je ľahkým terčom, ak posledný počítač beží pod OS Windows 98 a slúži iba na občasné tlačenie dokumentov na starej ihličkovej tlačiarni v zastrčenej kancelárii. Rovnaké bezpečnostné riziko často predstavujú práve užívatelia. Jednoduchou manipuláciou známou ako sociálne inžinierstvo je možné kompromitovať aj slušne chránenú sieť.

Nepochybne najznámejším predstaviteľom je Kevin Mitnick. Či sa tak stalo vďaka demonštrácii sily amerického súdneho systému, alebo vďaka uletenému filmu o zlom hackerovi od spoločnosti Miramax je diskusia na celý večer.

Cieľom tejto simulácie bude poukázanie na jednoduchosť útoku a nabudenie zdravej paranoje, ktorá je často potrebná v svete IT security :) Predvedieme schopnosť antivírusových programov zachytiť niektoré útoky sociálneho inžiniera. Ako bude demonštované, ak uživateľ pristúpi na manipuláciu, nie je dôležité aký operačný systém používa.

Sociálne inžinierstvo prešlo od dôb Kevina Mitnicka výraznou premenou a rozdelilo sa do mnohých kategórií. Dôkazom tohto tvrdenia je aj Social Engineer Toolkit (SET). SET je automatizovaný systém pre útoky využívajúce sociálne inžinierstvo.

svn co http://svn.thepentest.com/social_engineering_toolkit

Autorom je David Kennedy, momentálne je dostupná prvá alfa verzia a predpokladom je jej začlenenie do aplikácie Fast-Track. Možností konfigurácie je na alfa verziu naozaj bohaté. Metasploit payloads, E-Mail Attack Mass Mailer, Website Attacks (testované na IE6, IE7, IE8, FireFox), Ettercap ARP automatic poison, prepojenie s Gmail účtom, jednoduchá konfigurácia a hotové predlohy robia z SET silný nástoj. Doručenie zásielky pomocou e-mailu, alebo pomocou aplikácie Etterap-ng. Pre obídenie AV je možné využiť trinásť encoderov z MSF.

Set main Metasploit

SET – Automatic E-Mail Attacks

Jeden príklad, no možností je hojne. Nasledujúci e-mail zaslaný s payloadom Adobe util.printf() Buffer Overflow pomocou Gmail účtu na iný Gmail účet vráti po otvorení priloženej prílohy (pdf) sociálnemu inžinierovi voliteľný Shell. V alfa verzii sú podporované:

1. Windows Reverse TCP Shell
2. Windows Meterpreter Reverse Shell
3. Windows Reverse VNC
4. Windows Reverse TCP Shell (x64)

Evil email Metasploit

SET – Web Attack toolkit

Útok je založený na vytvorení falošnej „profesionálne“ vyzerajúcej web stránky. Po jej navšívení je užívateľ vyzvaný pre spustenie java appletu. Tento applet je samozrejme „veľkonočné vajce“. Dôveryhodnosť je slušná.

Sociálne inžinierstvo a automatizovaný meterpreter payload

Rýchly, ľahko šíriteľný, efektívny a ťažko detekovateľný – meterpreter reverse tcp payload encodovaný na spustiteľný súbor. Vytvoríme si spustiteľný payload meterpreter:

Metasploit msf encode

Takýto 32-bitový spustiteľný súbor identifikovaný reťazcom „PE“ može bežať na všetkých verziách Windows NT, Windows 95 a vyššie napr. pod krycím názvom fotoalbum.exe . Shikata Ga Nai encoder zmení zakaždým MD5 Hash súboru.
Pozrime sa ako sa k takémuto súboru zachovajú antivírusové programy. Výsledkom scanu na VirusTotal je nasledovný výsledok:
7 z 41 antivírusových programov dokázalo identifikovať kód ako škodlivý, alebo podozrivý. Známe tváre ako AVG, Kaspersky, NOD32, Symantec, Microsoft v zozname nie sú. V dvoch prípadoch (Avast, GData) šlo o chybnú identifikáciu payloadu ako známeho trójskeho koňa Win32:Tipa pôvodom z Ruskej federácie. Percentuálny výsledok detekcie takto prezlečeného payloadu meterpreter reverse_tcp je 17.08%. V reále je toto číslo nižšie, použitím rôznych encoder-ov s obšírnejsími voľbami je možné dosiahnuť takmer nulovú detekciu. Link na Virus Total report na konci článku.

Nakonfigurujeme Metasploit Framework:

multi handler metasploitkkk

Doručenie zásielky

V tomto kroku sa prejaví schopnosť sociálneho inžiniera nenápadne ukecať svoju obeť. Spoločnosti a jednotlivci bežne uverejňujú napr. svoje ICQ kontakty… Pokus o spustenie doručeného balíčka má za následok vytvorenie spojenia na predkonfigurovanom porte. Co klik, to meterpreter session. Počas písania tohto článku sa autorovi naskytla ukážková príležitosť pri povzdychu užívateľa Windows 7 (64 bit) pri pokuse o spustenie obľúbenej hry Need For Speed. Krátky rozhovor, payload prezlečený za nfs_win7patch.exe a výsledok je jasný. Užívateľovi nepomohol ani Eset Smart Security 4.

Windows 7 meterpreter

Rovnako slúži spomínaný fotoalbum.exe voči Windows XP Profesional SP2 – Kaspersky Antivírus 2010. Test meterpreter skriptu Gettelnet ako bonus.

Windows XP meterpreter

Mimochodom prijali by ste súbor zasielaný pomocou ICQ „od potenciálneho obchodného partnera“ pod názvom cenník.exe, ak Váš antivírusový program nenamieta? Sociálne inžinierstvo nevyžaduje žiadne špeciálne schopnosti. Ak ste pracovali ako doručovaťeľ, isto viete o čom hovorím. Notoricky sú známe loginy a heslá napísané na papier a prilepené na monitoroch počítačov. Skutočnosť je taká, že pri vstupe do inštitúcie si síce poznačia Vaše údaje, niekde nasleduje dokonca krátka osobná prehliadka, no pri prehodených menovkách na dverách, prípadne ak hľadaný zamestnanec rotuje po kanceláriách si poľahky prezriete prístupové heslá polovice oddelenia.

diskuze metasploit

Na záver azda len definícia sociálneho inžinierstva podľa Wikipedie – All social engineering techniques are based on specific attributes of human decision-making known as cognitive biases. These biases, sometimes called „bugs in the human hardware“ are exploited in various combinations to create attack techniques. Virustotal analýza súboru fotoalbum.. Kliku zdar!

Pre AMP Security písal M1

Kam dál?